• Tervetuloa uudistetulle moottoripyora.org -foorumille! Onko ongelmia? Palautetta? kerätään tähän ketjuun kootusti asiat. Mikäli et pääse ketjuun kirjoittamaan, voit myös olla sähköpostilla yhteydessä. Teknisen tuen sähköposti löytyy yhteystiedot -sivulta. Mikäli et pääse kirjautumaan, yritä ensin salasanan palautusta.

Motorg ry tiedottaa: Vaihtakaa salasananne

  • Keskustelun aloittaja Keskustelun aloittaja Makeka
  • Aloituspäivä Aloituspäivä
Kyllä, tietomurto tapahtui.

Mukaansa hakkerit saivat tietokantamme, jotka sisältävät käyttäjätunnukset, nimet ja osoitteet sekä salasanat kryptatussa ja sekoitetussa muodossa. Näillä tiedoilla ei pysty ihmeempiä tekemään eivätkä nämä tiedot hakkereita juurikaan kiinnosta.

Kuten aiemmin jo kerroimme sivustolla ei ole tallessa esim. luottokorttien numeroita tai muuta arkaluontoista, esim. kaupan maksut menevät välittäjän kautta suojatulla yhteydellä. (Paytrail)

Foorumi on nyt putsattu ja tarkistuksia jatketaan edelleen, puhdistustyö kesti pitkään koska haittaohjelmia on hankala löytää koodin seasta ja puhdistus piti tehdä manuaalisesti.

Hankalan murrosta teki se että samaan aikaan meillä oli ongelmia kehityspalvelimen kanssa josta ei saatu tuotua foorumin backuppeja tuotantoon. Kehityspalvelin on nyt siirretty toiseen paikkaan vastaavan tilanteen välttämiseksi. Tuomme päivitetyt ohjelmistot tuotantoon heti kun ne on testattu kehityspalvelimella. Tulemme myös parantamaan proseduureja ylläpidon ja tiedotuksen osalta tämän kaltaisissa tilanteissa.

Terveisin

Petteri Laaksonen
Puheenjohtaja
Motorg Ry
 
zapster sanoi:
Kyllä, tietomurto tapahtui.

Mukaansa hakkerit saivat tietokantamme, jotka sisältävät käyttäjätunnukset, nimet ja osoitteet sekä salasanat kryptatussa ja sekoitetussa muodossa. Näillä tiedoilla ei pysty ihmeempiä tekemään eivätkä nämä tiedot hakkereita juurikaan kiinnosta.
...
Napsauta laajentaaksesi...

Kryptausten purkuun löytyy keinoja. Bruteforce ja tarpeeksi aikaa, jos ei muuta. Tällä tavalla esimerkiksi itse selvitin bitcoin-lompakkoni salasanan, joka oli jäänyt vuosien saatossa unohduksiin. Asian selvittelyyn meni parisenkymmentä riviä koodia ja viitisen minuuttia googlailua. Asiansa osaavilla on varmasti muitakin työkaluja käytössä.

Täydellisten nimi- ja osoitetietojen avulla voidaan tehdä yllättävänkin paljon kiusaa. Jos esimerkiksi paypal- tai muu vastaava maksutili on avattu samalla sähköpostilla, niin monesti tiliin pääsee käsiksi osoitetietojen avulla. Tähän varmaan joku tulee itkemään, että foliopipoilua ja todennäköisyys lähenee nollaa. Itku on aiheellista aina siihen asti kunnes joku huomaakin paypal-tilillään muutaman tonnin edestä ostoja. Vähän sama kuin maksukortin kopioiminen maksuautomaatilla, tai maksupäätteellä. Eipä sekään ketään kosketa, kunnes se koskettaa.

Tilanteen vähättely on mielestäni perseestä.
 
dmachine sanoi:
Kryptausten purkuun löytyy keinoja. Bruteforce ja tarpeeksi aikaa, jos ei muuta. Tällä tavalla esimerkiksi itse selvitin bitcoin-lompakkoni salasanan, joka oli jäänyt vuosien saatossa unohduksiin. Asian selvittelyyn meni parisenkymmentä riviä koodia ja viitisen minuuttia googlailua. Asiansa osaavilla on varmasti muitakin työkaluja käytössä.

Täydellisten nimi- ja osoitetietojen avulla voidaan tehdä yllättävänkin paljon kiusaa. Jos esimerkiksi paypal- tai muu vastaava maksutili on avattu samalla sähköpostilla, niin monesti tiliin pääsee käsiksi osoitetietojen avulla. Tähän varmaan joku tulee itkemään, että foliopipoilua ja todennäköisyys lähenee nollaa. Itku on aiheellista aina siihen asti kunnes joku huomaakin paypal-tilillään muutaman tonnin edestä ostoja. Vähän sama kuin maksukortin kopioiminen maksuautomaatilla, tai maksupäätteellä. Eipä sekään ketään kosketa, kunnes se koskettaa.

Tilanteen vähättely on mielestäni perseestä.
Napsauta laajentaaksesi...
Kryptauksen aukeaminenkin riippuu täysin käytetystä salauksesta. Jos kyseessä oli esim AES-256, pystyn itse ainakin huoletta toteamaan ettei minun salasanaani avata.
 
Jantunen sanoi:
Kryptauksen aukeaminenkin riippuu täysin käytetystä salauksesta. Jos kyseessä oli esim AES-256, pystyn itse ainakin huoletta toteamaan ettei minun salasanaani avata.
Napsauta laajentaaksesi...

Eiköhän ne ole olleet vain md5-summattuja, ilman suolaa luonnollisesti :)
 
Mä vaihdoin salasanan ja tuli tällaiset kaksi ilmoitusta… (liitteessä)
 

Liitetiedostot

  • Screen Shot 2015-06-02 at 18.03.32.png
    Screen Shot 2015-06-02 at 18.03.32.png
    91,3 KB · Katselut: 223
Vaikka ylläpito on epäilemättä oppinut tästä asiasta paljon, ja tehnyt sinänsä hyvää työtä siinä, ettei foorumille kirjoitettua sisältöä kadonnut (tai "jouduttu" kadottamaan), niin nostaisin esiin muutaman asian.

Yksi niistä on jälkitiedottamisen tarkkuus. Vaikka ajalla ei tässä nimenomaisessa tapauksessa olekaan kovin oleellista merkitystä, niin on se nyt vähän noloa, että tiedotetaan murron tapahtuneen 20.5., ja sitten linkitetään siihen viestiketju josta käy ilmi, että murron näkyvistä tunnusmerkeistä etusivulla on ilmoitettu jo 16.5.

Toinen asia on käyttäjän itsensä vastuu omista tiedoistaan.

Jos joku nyt vuosien julkisen jankkauksen jälkeenkin edelleen käyttää samaa salasanaa ja mahdollisesti myös samaa käyttäjätunnusta useissa nettipalveluissa, niin voi kyllä mennä peilin eteen ruoskimaan itseään omasta tyhmyydestään. Se nyt vaan on väistämätön tosiasia, että näistä ilmaisista suurien massojen käytössä olevista foorumi/www-julkaisualustoista löytyy jatkuvasti kriittisiä haavoittuvuuksia, joiden kautta ne on enemmän tai vähemmän helppo murtaa. Edes se ei auta että alusta päivitettäisiin ylläpidon toimesta heti kun uusi versio julkaistaan, koska myös ennestään tuntemattomien haavoittuvuuksien kautta hyökkäyksiä tapahtuu.

Lisäksi omaa tietoturvaansa voi parantaa sillä, että rekisteröityy näihin "turhanpäiväisiin" nettifoorumeihin eri sähköpostiosoitteella kuin "tärkeisiin" palveluihin, joista esimerkkinä toimikoon vaikka tuo mainittu Paypal tai muut rahaa/luottokorttitietoja sisältävät palvelut. Tällöin murtotapauksessa sähköpostiosoitetta ei voi hyödyntää kuin ehkä roskapostin kohteena, ja tarvittaessa foorumille voi vaihtaa uuden mailiosoitteen ja sulkea vaikka koko vanhan vuodetun osoitteen pysyvästi. Nykyisenä ilmaispostien aikana tämä järjestely ei vaadi ihan kauheaa panostusta, ja ainakin hotmailissa tarvittaessa homma hoituu useiden postilaatikoiden sijasta myös postialiaksilla.
 
shyhander sanoi:
Mä vaihdoin salasanan ja tuli tällaiset kaksi ilmoitusta… (liitteessä)
Napsauta laajentaaksesi...

Tuo virhe näyttää koskevan teitä joilla on avatar-kuva käytössä, siitä ei tarvinne tässä kohtaa välittää kun avatar kuitenkin edelleen näyttää toimivan ja salasanan vaihtokin ilmeisesti onnistuu.
 
Näin vaikuttaa olevan. :thumbup:

Todennäköisesti tälläkään ei ole mitää sen kummempaa informaatioarvoa, mutta kun tää Macci ja Safari (nettiselain) osaa haistella jotenkin nettisivujen käyttäjätunnus- ja salasanakentät ja täyttää ne automaattisesti sekä ehdottaa tyhjään salasanakenttään automaattisesti jotain kryptistä salasanaa jonka se käyttäjätunnuksen kera tallentaa "Safarin muistiin", niin jostain syystä Safariin tallentuu moottoripyora.org:ssa sähköpostiosoite + foorumin salasana eikä nikki + salasana. Eli jos kirjaudun ulos, ja sitten meen kirjautumaan takaisin sisään, niin se ehdottaa että mun nikki onkin sama kun mun sähköpostiosoite. Periaatteessa tämä ei kai ole kummoinenkaan juttu, mutta silti mun kulmakarva toisessa silmässä nousee. Tää ei sinänsä haittaa, koska Safarin asetuksessa voi helposti korjata tuon automaattisen nikin + salasanan haluamakseen.
 
Yks asia mikä minua ärsyttää on että edes kirjautumis-sivu ei ole https/ssl-salattu, vaan ihan perus kryptaamaton http. Tosi mukava kirjautua avoimista langattomista verkoista kun kuka vaan voi napata tunnuksen ja salasanan.

Hoitakaa nyt se SSL edes kirjautumis-sivulle, ei vaadi paljon !!
 
Voihan sen certin signata itte.

Haittapuolena on tietty se, että kaikki selaimet varoittelee siitä niin maan perusteellisesti. Jopa siihen malliin että pekka peruskäyttäjä luulee että palvelu on haxoroitu.
 
s151669 sanoi:
Voihan sen certin signata itte.

Haittapuolena on tietty se, että kaikki selaimet varoittelee siitä niin maan perusteellisesti. Jopa siihen malliin että pekka peruskäyttäjä luulee että palvelu on haxoroitu.
Napsauta laajentaaksesi...

Juurikin näin. Ainakaan mulle tulisi pieneen mieleenkään mennä sivulle, joka on varmennettu AkuAnkka-sertillä. :grin:
 
Sertifikaatin hankinta on piirrelty sivustouudistuksen yhteyteen kun asioita muutenkin ajanmukaistetaan. Periaatteessa sertin voisi hankkia aiemminkin, mutta kuvittelisin asian menevän budjetoinnin kautta ellei hallinnolta kuulu käskyä aikaistaa asiaa.
 
Kun sertin hankinta tulee ajankohtaiseksi, kannattaa olla tarkkana, että mitä hankkii. Hintaerot ovat merkittäviä, ja ainakin aiemmin siinä oli eroja, mitkä varmentajat mikäkin mobiililaitteen käyttis sattui tuntemaan.

Esimerkiksi dns-palveluistaan tunnettu GoDaddy lupaa yksittäisen saitin sertin alle 100€/vuosi, ja wildcard-sertinkin reiluun 300€/vuosi. Käsittääkseni yhteensopivuuskin pitäisi olla ok.
 
massajaska sanoi:
Wosignilta saa certin veloituksetta, ja on selainten luottama CA.
Napsauta laajentaaksesi...

Ainakin Ipadin Chrome näyttää jo heidän omalla sivullaankin keltaista kolmiota ja yliviivausta https:n päällä... Ei herätä luottamusta ainakaan minussa.
 
Onkohan täältä semmonen keskustelu hävinny kun "pieniä kysymyksiä jotain?" tuon murtautumisen vuoksi? Päivällä johonki tuommoseen kirjoitin ja nyt en näe sitä keskustelua missään, vai oonko vain sokea? :D
 
Sinun täytyy kirjautua sisään tai rekisteröityä voidaksesi kirjoittaaksesi täällä.
Back
Ylös